我们有一个私人网络平台,我们拥有数千名用户和一个管理员帐户。我们希望能够以管理员身份登录,打开我们的用户列表,单击“以用户身份登录”然后成为该用户。这是为了能够复制和诊断他们发现我们无法在受控本地环境中生成的错误。我创建了一个多层次的实现:
在浏览器中,该应用现在会附加一个包含欺骗用户ID的标头。
服务器将像往常一样在所有请求上对用户进行身份验证,但如果用户是管理员并且标头存在,则它将像欺骗用户发出请求一样响应,而不是管理员本身。 / p>
非常简单,但与任何安全相关,我都很疲惫。能否请您推荐关于此类主题的好读物(或自己提供反馈)?我一直在谷歌搜索试图找到白皮书,书籍,任何彻底讨论的事情要记住这种类型的功能被添加到系统,但我会变空,因为我可能没有使用正确的词汇。非常感谢!
答案 0 :(得分:0)
您要做的是称为用户模拟。如果您的框架具有此类功能(IIS for instance),则最好尽可能多地重用。
除了安全隐患之外,一个密钥元素是可追溯性:您必须确保代表用户完成的所有活动都以管理员无法修改它的方式进行跟踪(通过将其发送到例如,远程日志管理服务器)。您可能还想检查在您的应用程序的特定情况下需要哪些用户协议。